Hvad Progress bad kunderne om at gøre
Instruktionen fra Progress Software var kontant: sluk maskinen. Den 10. juli 2026, med bredere dækning dagen efter, blev administratorer med ShareFile og lokale Storage Zone Controllers bedt om fysisk at slukke de controllere på grund af en trussel, som leverandøren kaldte troværdig.
Der er ingen patch at anvende, ingen navngiven CVE at følge og ingen offentlig detalje om selve truslen. Progress gjorde det også klart, at blokering af adgang på cloud-laget ikke er nok. Eksponeringen er selve controlleren, enheden inde i kundens eget netværk, og den eneste vejledning på bordet er at stoppe den fra at køre.
En Progress-sårbarhed med alvorlighed 9,8, CVE-2026-2699, cirkulerer i naturen, men Progress har ikke officielt knyttet den til denne advarsel. For en ejer er den praktiske position enkel og ubehagelig: en betroet leverandør fortæller dig, at den sikreste tilstand for produktet er slukket.
Hvorfor 'sluk den' slår 'vent på en patch'
At trække stikket er det ærlige træk, når der ikke er noget at patche. En nedlukning fjerner angrebsfladen med det samme, mens ventetid inviterer præcis det scenarie, som branchen allerede gennemlevede med MOVEit, det tidligere Progress-produkt til filoverførsel, hvis krise i 2023 udløste en af de største bølger af brud i Europa.
Den præcedens er grunden til, at denne advarsel vejer ud over en enkelt produktlinje. Den samme kategori af betroet software til filoverførsel, placeret i sømmen hvor følsomme dokumenter bevæger sig mellem partnere, har nu frembragt to leverandørudråbte nødsituationer fra den samme leverandør. Når løsningen ikke er tilgængelig, er det eneste håndtag en ejer kontrollerer tilgængeligheden, og at slukke tjenesten er den ene handling, som ingen angriber kan overhale.
Den tredjepartsrisiko-øvelse du skylder dig selv
Lektien her er ikke dette ene produkt. Det er, at dine leverandører af administreret filoverførsel og fildeling er koncentreret tredjepartsrisiko, og at en pludselig instruktion om at slukke et produktionssystem er en øvelse, du allerede burde kunne udføre under NIS2 og DORA.
Begge regimer behandler en sådan leverandørudløst hændelse som en anmeldelsespligtig tredjepartshændelse, og fristen kan begynde, før nogen kompromittering er bekræftet. Det betyder, at de spørgsmål, der er værd at besvare i dag, ikke kun handler om ShareFile: hvilke leverandører kunne sende dig den samme besked i morgen, hvem har myndigheden til at slukke et system inden for en time, og hvor hurtigt kunne du indgive den anmeldelse, loven forventer.
Kør øvelsen nu, mens den kun koster dig en eftermiddag. De virksomheder, der håndterer det næste af disse opkald roligt, er dem, der øvede nedlukningen, før en leverandør tvang dem.
Læs videre: 430.000 firewalls blev en ransomware-forsyningslinje | CitrixBleed er tilbage, udnyttet inden for en dag



